Django中的跨域问题

一.跨域的实质

服务器的跨域问题，在于如果进行前后端分离的网站开发时，前端与后端的域名、协议、端口不一致，导致浏览器进行的服务请求拦截。但其实虽然说浏览器将请求拦截下来，但是请求依然是请求成功，只不过服务器没有将数据在网页中进行渲染。

跨域，其实也叫同源策略。

同源策略（Same origin policy）是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现。

同源策略，它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源是指，域名，协议，端口相同。

如果说一旦浏览器发现请求的服务器与发起请求的服务器不是同源， 则会主动进行拦截，为了保证服务器的数据安全。

如果说现有两个Django项目，项目2向项目1的服务器请求数据，那么一旦发起了这次请求，请求是成功的，数据也会得到，但是浏览器在渲染的时候会进行拦截报错：

已拦截跨源请求：同源策略禁止读取位于 http://127.0.0.1:7766/SendAjax/ 的远程资源。（原因：CORS 头缺少 'Access-Control-Allow-Origin'）。
这是火狐浏览器中的错误提示，谷歌浏览器错误提示相同，只不过是英文的

针对跨域请求问题，如果使用Django开发网站，根据请求的类型不同，有不同的处理方法。

二.CORS

CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE浏览器不能低于IE10。

整个CORS通信过程，都是浏览器自动完成，不需要用户参与。对于开发者来说，CORS通信与同源的AJAX通信没有差别，代码完全一样。浏览器一旦发现AJAX请求跨源，就会自动添加一些附加的头信息，有时还会多出一次附加的请求，但用户不会有感觉。

因此，实现CORS通信的关键是服务器。只要服务器实现了CORS接口，就可以跨源通信。

CORS的两种请求

浏览器将CORS请求分成两类：简单请求（simple request）和非简单请求（not-so-simple request）。

只要同时满足以下两大条件，就属于简单请求。

而简单请求需要同时满足以下两种条件：

(1) 请求方法是以下三种方法之一：
    HEAD
    GET
    POST
(2) HTTP的头信息不超出以下几种字段：
    Accept
    Accept-Language
    Content-Language
    Last-Event-ID
    Content-Type：只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

而只要不满足上述的两种条件，那就是复杂请求。

CORS针对简单请求和复杂请求，进行处理请求跨域的方式是不一样的

针对简单请求处理请求跨域

简单请求进行跨域请求，如果不进行跨域的处理，那么浏览器的报错信息是：

Access to XMLHttpRequest at 'http://127.0.0.1:8008/books/' from origin 'http://127.0.0.1:8000' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.

其实就是服务器进行响应的时候，缺少一个响应头：Access-Control-Allow-Origin，只需要在 响应给浏览器时，将这个响应头加上即可：

from django.http import JsonResponse
def books(request):
    print("s2 books")
    obj = JsonResponse(["python", 'linux', "go"], safe=False)
    obj["Access-Control-Allow-Origin"] = "*"
    return obj

添加响应头时，右侧的*，代表任何请求，不管是从哪个域名向服务器发起的请求，都予以通过。当然，也可以专门设置某一个域名的跨域请求通过：

obj["Access-Control-Allow-Origin"] = "192.168.0.1:8000"
这表明只有从IP是192.168.0.1，且端口是8000的服务器发来的请求，能够成功访问。

如果是想要在一个Django项目中的每个视图函数，都进行跨域的处理，那我们可以直接添加一个中间件来专门处理跨域请求。

注意：中间件是要处理服务器给出响应，所以要重写process_response方法：

class MyMiddle(MiddlewareMixin):
    def process_response(self, request, response):
        response["Access-Control-Allow-Origin"] = "*"
        return response

针对复杂请求处理请求跨域

复杂请求，例如浏览器向服务器发送DELETE，PUT等请求时，那么浏览器会向服务器发送一个预检请求，来询问服务器的跨源策略，如果配置符合，则继续发送请求，否则就会抛出错误。

而浏览器发送的预检请求，一般都是OPTIONS类型的请求。

此时，我们需要在服务器的响应中，再设置一个头信息：Access-Control-Allow-Origin，即可完成预检请求，实现跨域。

from django.http import JsonResponse
def books(request):
    print("s2 books")
    obj = JsonResponse(["python", 'linux', "go"], safe=False)
    obj["Access-Control-Allow-Headers"]="Content-Type,b"
    obj["Access-Control-Allow-Origin"] = "*"
    return obj

同样的，我们 可以用中间件来实现简单请求和复杂请求的跨域请求：

class MyMiddle(MiddlewareMixin):
    def process_response(self, request, response):
        response["Access-Control-Allow-Origin"] = "*"
        response["Access-Control-Allow-Headers"]="Content-Type,b"
        return response